Sécurisation du balayage de vulnérabilités

Cette rubrique fournit des informations et des recommandations sur la sécurité pour Oracle Cloud Infrastructure Vulnerability Scanning Service.

Le balayage de vulnérabilité améliore votre sécurité dans Oracle Cloud en vérifiant régulièrement si les hôtes présentent des vulnérabilités potentielles.

Responsabilités en matière de sécurité

Pour utiliser le balayage de vulnérabilités en toute sécurité, renseignez-vous sur vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations en nuage, comme les contrôles de l'accès des opérateurs au nuage et l'application de correctifs de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources en nuage. La sécurité dans le nuage est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

Physical Security : :Oracle est responsable de la protection de l'infrastructure globale qui exécute tous les services offerts dans Oracle Cloud Infrastructure. Cette infrastructure se compose du matériel, du logiciel, du réseau et des installations qui exécutent les services Oracle Cloud Infrastructure.
Sécurité de la base de données : Oracle est responsable de la sécurité et de l'application de correctifs à la base de données utilisée pour stocker les ressources de balayage de vulnérabilités, y compris les recettes de balayage, les cibles de balayage et les résultats de balayage.

Vos responsabilités en matière de sécurité sont décrites dans cette page, qui comprend les domaines suivants :

Contrôle de l'accès : Limitez le plus possible les privilèges. Les utilisateurs ne doivent disposer que de l'accès nécessaire pour effectuer leur travail.

Tâches de sécurité initiales

Utilisez cette liste de vérification pour identifier les tâches à effectuer pour sécuriser le balayage de vulnérabilités dans une nouvelle location Oracle Cloud Infrastructure.

Tâche	Informations supplémentaires
Utilisez des politiques IAM pour contrôler qui peut configurer le balayage de vulnérabilités et qui peut voir les résultats du balayage.	Politiques GIA
Configurez une passerelle de service pour balayer les instances de calcul qui n'ont pas d'adresse IP publique.	Sécurité du réseau

Tâches de sécurité régulières

Après avoir commencé à utiliser le balayage de vulnérabilités, utilisez cette liste de vérification pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

Tâche	Informations supplémentaires
Répondre aux vulnérabilités détectées dans les rapports de balayage	Rapports sur la vulnérabilité des hôtes Balayage à l'aide du service de protection d'infrastructure en nuage
Vérifier la sécurité	Vérification

Politiques GIA

Utilisez des politiques pour limiter l'accès au balayage de vulnérabilités.

Une politique indique qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, voir Fonctionnement des politiques.

Affectez à un groupe les privilèges minimaux nécessaires à l'exercice de ses responsabilités. Chaque politique comporte un verbe qui décrit les actions que le groupe est autorisé à effectuer. De l'accès le plus restreint à l'accès le plus élevé, les verbes disponibles sont les suivants : inspect, read, use et manage.

Tenez compte des questions organisationnelles suivantes lors de la création de politiques pour le balayage de vulnérabilités.

Un groupe dédié est-il responsable de la configuration du balayage de vulnérabilités sur toutes les ressources de tous les compartiments?
Les administrateurs de compartiment sont-ils responsables de la configuration du service de balayage de vulnérabilités pour les ressources de leurs compartiments individuels?
Existe-t-il un groupe dédié qui surveille les résultats du balayage pour les ressources de tous les compartiments, puis communique ces résultats aux responsables des compartiments ou des ressources?
Les administrateurs de compartiment surveillent-ils les résultats du balayage des ressources dans leurs compartiments individuels, puis communiquent-ils ces résultats aux responsables des ressources?
Les responsables de ressources ont-ils besoin d'accéder aux résultats du balayage?

Pour utiliser le balayage basé sur un agent pour les instances de calcul (hôtes), vous devez également accorder au service de balayage de vulnérabilités l'autorisation de déployer l'agent Oracle Cloud vers les instances cibles.

Nous vous recommandons d'accorder des autorisations DELETE à un jeu minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données résultant de suppressions accidentelles par des utilisateurs autorisés ou d'acteurs malveillants. N'accordez les autorisations DELETE qu'aux administrateurs de location et de compartiment.

Autoriser les utilisateurs du groupe SecurityAdmins à balayer les ressources dans l'ensemble de la location

Un groupe dédié est responsable de la configuration du balayage de vulnérabilités sur toutes les ressources de tous les compartiments.

Allow group SecurityAdmins to manage vss-family in tenancy
Allow service vulnerability-scanning-service to manage instances in tenancy
Allow service vulnerability-scanning-service to read compartments in tenancy
Allow service vulnerability-scanning-service to read vnics in tenancy
Allow service vulnerability-scanning-service to read vnic-attachments in tenancy

Autoriser les utilisateurs du groupe SalesAdmins à balayer les ressources du compartiment SalesApps

Les administrateurs de compartiment sont responsables de la configuration du balayage des vulnérabilités pour les ressources de leurs compartiments individuels.

Allow group SalesAdmins to manage vss-family in compartment SalesApps
Allow service vulnerability-scanning-service to manage instances in compartment SalesApps
Allow service vulnerability-scanning-service to read compartments in compartment SalesApps
Allow service vulnerability-scanning-service to read vnics in compartment SalesApps
Allow service vulnerability-scanning-service to read vnic-attachments in compartment SalesApps

Autoriser les utilisateurs du groupe SecurityAuditors à voir les résultats du balayage pour l'ensemble de la location

Un groupe dédié surveille les résultats du balayage de vulnérabilités pour les ressources de tous les compartiments.

Allow group SecurityAuditors to read vss-family in tenancy

Autoriser les utilisateurs du groupe SalesAuditors à voir les résultats du balayage dans le compartiment SalesApps

Les administrateurs de compartiment surveillent les résultats du balayage des ressources dans leurs compartiments individuels.

Allow group SalesAuditors to read vss-family in compartment SalesApps

Pour plus d'informations sur les politiques de balayage de vulnérabilités et pour voir d'autres exemples, voir Politiques IAM de balayage.

Sécurité du réseau

Utilisez le balayage de vulnérabilités pour balayer les ressources qui se trouvent sur des sous-réseaux privés ou qui n'ont pas d'adresses IP publiques.

A Compute instance is associated with a VCN (virtual cloud network) and a subnet . Lorsque vous créez un sous-réseau dans un VCN, par défaut, le sous-réseau est considéré comme public et les communications Internet sont autorisées. If an instance you want to scan is on a private subnet or has no public IP address, the VCN must include a service gateway and a route rule for the service gateway. Voir Accès aux services Oracle : Passerelle de service.

Vérification

Localisez les journaux d'accès et les autres données de sécurité pour le balayage de vulnérabilités.

Le service de vérification enregistre automatiquement tous les appels d'API aux ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service de vérification pour surveiller toutes les activités des utilisateurs dans votre location. Comme tous les appels de console, de trousse SDK et de ligne de commande (interface de ligne de commande) sont effectués par l'intermédiaire de nos API, toute l'activité provenant de ces sources est incluse. Les enregistrements de vérification sont disponibles au moyen d'une API d'interrogation authentifiée et filtrable ou ils peuvent être extraits en tant que fichiers par lots à partir du stockage d'objets. Le contenu du journal de vérification inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Voir Affichage des événements du journal de vérification.

Par exemple, vous pouvez vérifier régulièrement toutes les activités d'API liées à la création, à la mise à jour et à la suppression de cibles d'analyse. Vous pouvez rechercher les événements suivants dans le service de vérification :

CreateHostScanTarget
UpdateHostScanTarget
DeleteHostScanTarget

Exemple de journal de vérification

Extrait d'un événement CreateHostScanTarget dans le service de vérification.

{
  "eventType": "com.oraclecloud.vulnerabilityScanning.CreateHostScanTarget.begin",
  "cloudEventsVersion": "0.1",
  "eventTypeVersion": "2.0",
  "source": "vulnerabilityScanning",
  "eventId": "<unique_ID>",
  "eventTime": "2021-09-20T13:19:20.046Z",
  "contentType": "application/json",
  "data": {
    "eventGroupingId": "<unique_ID>",
    "eventName": "CreateHostScanTarget",
    "compartmentId": "<unique_ID>",
    "compartmentName": "MyCompartment",
    "resourceName": "MyScanTarget",
    "resourceId": "<unique_ID>",
    "availabilityDomain": "AD3",
    "freeformTags": {},
    "definedTags": {},
    "identity": {
      "principalName": "myuser",
      "principalId": "<unique_ID>",
      "authType": "natv",
      "callerName": null,
      "callerId": null,
      "tenantId": "<unique_ID>",
      "ipAddress": "<IP_address>",
      "credentials": "<credentials>",
      "userAgent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36",
      "consoleSessionId": "<unique_ID>"
    },
    ...
  }
}

Pour obtenir la liste de tous les événements de balayage de vulnérabilités, voir Événements de balayage.